Achtung Wurm im Net

  • Themenstarter Roland Reichel
  • Beginndatum

Matthias Bähr

Neues Mitglied
03.04.2006
38
0
#1
Hallo Roland,

vielen Dank für den super Hinweis.

Ich hatte eine Mail: "Ich zeige Sie an" im Posteingang. Sie wurde ohne den Anhang zu öffnen gelöscht.

Christian Dürschner hat mich vor einiger Zeit aufmerksam gemacht, ich würde Viren versenden. Daraufhin habe ich mein gesamtes Adressbuch gelöscht.

MFG

Matthias
 
R

Roland Reichel

Guest
#2
Hallo Matthias,
Adressbuch löschen ist schon lästig.
Viel erfolgreicher war bei mir:

a) Firewall installiert (Zone Alarm, gibts auch in einer kostenlosen Version zum download). Windows XP hat eine Firewall von Haus aus, man muss sie nur entsprechend konfigurieren.

b) Virenscanner installiert und auf ziemlich hohe Sicherheitsstufe eingestellt.

c) Diese zwei Programme auf dem neuen Rechner im Juni 2003 installiert, bevor ich das ISDN Kabel überhaupt reingesteckt hatte.

d) email immer erst über "Popcorn" anschauen (header und evtl. die ersten 50 Textzeilen). Verdächtige mails löschen, und zwar auf dem server gelöscht, also gar nicht erst in meinen Rechner gelassen.

e) ActiveX Controls und Plug Ins deaktiviert bzw. nur nach Rückfrage zugelassen. Damit können wenigsten die kleinen Visual Basic Programme nicht von hintenherum in meinen Rechner eindringen und ausgeführt werden.

Seit Juni habe ich keinen Ärger mehr gehabt. Eine hundertprozentige Garantie gibts leider nicht, denn auch ein Virus oder Wurm kann schneller durchkommen als die automatische Aktualisierung meines Virenprogramms. Und außerdem benutzt meine Frau noch t-online e-mails.

Allerdings bekommen wir relativ wenig SPAM e-mails, seitdem mein Provider 1+1 die Zertifizierung (wie auch immer sich das auswirkt) eingeführt hat. Die blocken damit wohl viel Mist ab.

Gruss,
Roland Reichel, bsm
www.solarmobil.net
 
J

Juergen

Guest
#3
Hallo Roland,
es geht noch einfacher: Linux auf dem Rechner installieren und Ruh is!
Uebrigends, der Wurm benutzt auch "gefaelschte Absender- eMail- Adressen: z.B cityel@thiesen.com ---> ist bei uns ne reine Empfangsadresse.
Viele Gruesse
und einen Guten Rutsch ins neue Jahr
Juergen
 
C

Christian

Guest
#4
wie krieg ich denn den virus runter, wenn ich ihn drauf hab. Wäre über download sehr dankbar
 
R

Roland Reichel

Guest
#5
Hier hilft nur eine richtige Wurmkur, die wohl nicht so ganz einfach ist. Ausführliche Hinweise findet man auf den Internetseiten von Symantec (Norton). Am besten über google suchen:

Das Suchwort W32.Sober.C@mm bei google.de brachte mich auf die Seiten von Heise (CT) und Symantec (Norton). Dort gibt es viele Infos zu diesem lästigen Wurm.

Gruss,
Roland Reichel
www.solarmobil.net
 
R

Roland Reichel

Guest
#6
Hier einige Internetadressen direkt:

Beschreibung des Wurms:
http://www.sophos.com/virusinfo/analyses/w32soberc.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.c@mm.html

Tipps zum Loswerden des Wurms:
http://www.sophos.com/support/disinfection/sober.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober@mm.removal.tool.html

Ich hoffe, dass Du damit zurechtkommst.

Es ist wie im richtigen Leben: Einen Wurm kann man schnell bekommen. Das Loswerden ist kompliziert und lästig.

Gruss, Roland Reichel
www.solarmobil.net
 
R

Roland Reichel

Guest
#7
Heute hat jemand versucht, mir mit dem Absender bsm@solarmobil.net den Wurm zuzusenden.

Frechheit! Ist schließlich meine eigene e-mail Adresse.

Allerdings: bsm@solarmobil.net ist eine reine Empfangsadresse, die von uns nicht zum Versenden von mails benutzt wird. Die mails an bsm@solarmobil.net gehen parallel an Roland Reichel und an Thomic Ruschmeyer.

<b>Also Achtung, wenn ihr von bsm@solarmobil.net eine mail bekommt. Genau prüfen! Ist wahrscheinlich der Wurm drin. </b>

Gruss, Roland Reichel
www.solarmobil.net
 
19.01.2004
179
9
Krefeld
#8
Also, erst einmal auf unsere vielgeliebte Microsoftseite gehen und die Servicepacks installieren, nicht, ohne vorher den allerallerneuesten kostenlosen Virenscanner durchlaufen zu lassen. Das reicht nicht. Jetzt der Knüller: auf Knoppix.de Knoppix 3.3 oder vorgänger herunterladen. Vorsicht! "Iso"image, volle 700 Megabyte, könnte teuer kommen...und auf CD brennen.
Jetzt kommt es darauf an: Linux erkennt bekanntlich nicht alle Mistkomponenten. Aber meistens klappt es: Knoppix startet auf Anhieb. Alle schreibfähigen Medien sind zum Schreiben abgeschaltet (bis auf das RAM von mindestens 128 Mbyte!!! ) Da wurmt nichts mehr, beim Ausschalten des Rechners sind auch die Würmer im Nirvana. An das windows kommen sie nicht heran.
Auf der CD befinden sich dann wirklich alle Programme, die man im täglichen Leben braucht... drei Browser, das tolle Linux-officepaket, Photosoftware, alle möglichen de-und encoder und und und , selbst Spiele und Teekocher fehlen nicht.

Muß man etwas ändern, dann muß man sich allerdings ein wenig in Linux verteifen. Ein volles Entwicklungssystem (debian) ist gleich mitgeliefert. Aber man muß Unix gar nicht kennen, um das Ding einfach zu bedienen. Unzerstörbar, vor allem auch für Hausfrauen und für mich dringend zu empfehlen. Übrigens, ein 486 reicht, aber 128 K oder 16 K und eine kleine swap-Partition auf der Festplatte. Die anzulegen kann man jeden Rothut, Debianer oder die liebe Suse fragen. Dank sei Herrn Knopper.


Testweise habe ich auch das frei testbare Entwicklungssystem GNX "neutrino", ebenfalls auf Festplatte , installiert. Lief bei mir auf Anhieb. Ist genauso ein Unix-Entwicklungssystem, mit dem Vorteil, dass es ein Echtzeitsystem ist. Für Surfer ist das uninteressant, höchstens für Elektromotorentwickler.
Bernd
 
R

Roland Reichel

Guest
#9
Warnung vor einem recht agressiven Wurm: w32/MyDoom@MM

Ich habe von gestern morgen bis jetzt 12 mails mit verdächtigem Inhalt bekommen und per Kontrolle mit dem Programm Popcorn abfangen können.
Wichtig: das Muster ist neu. Es kommt eine mail scheinbar an mich zurück mit dem Inhalt, ich hätte mit meinem Absender rr@solarmobil.net einen Virus verschickt.

<b>Also Warnung: offenbar wird auch mein Absender rr@solarmobil.net als (gefälschte) Absenderangabe benutzt. </b>


Hier die Beschreibung des Wurms:

Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen
-
Der neue Wurm MyDoom/Novarg zieht weiter seine Kreise. Die Virenexperten von Messagelabs wollen innerhalb der ersten zwanzig Stunden nach dem Ausbruch 1,2 Millionen Exemplare abgefangen haben. Zum Vergleich: Der E-Mail-Provider Postini hat nach eigenen Angaben beim Ausbruch des Wurms Sobig.F am ersten Tag nur 1400 Exemplare registriert, den Höhepunkt erreichte der Wurm dort mit 3,5 Millionen Samples pro Tag. Hochgerechnet könnte MyDoom Sobig.F in der Verbreitung also locker schlagen.

Mittlerweile nerven nicht nur die E-Mails des Wurmes selbst, wie schon bei Sobig wird das Postfach mit Benachrichtigungen zugemüllt, man hätte infizierte Mails verschickt. Auch scheinen einige Accounts schon das Speicherlimit erreicht zu haben und nehmen keine weiteren Mails mehr entgegen. Selbst unmoderierte Mailinglisten bleiben von MyDoom nicht verschont: Auf Full Disclosure erschienen bereits mehrere Wurm-Postings zuzüglich der Benachrichtigungsmails von Virenscannern. Dies könnte die Theorie untermauern, dass auch technisch orientierte Anwender auf den als Fehlermeldung getarnten Schädling hereinfallen.

Allerdings kann auch die Fülle anderer Wurm-Mails daran schuld sein, was langsam zum Dauerzustand wird. Immer noch sind Sober.c, Dumaru.A, -.Y und .Z sowie Bagle und diverse andere Mimail-Varianten unterwegs. Wer sich da keinen Filter konfiguriert hat, kann schon mal den Überblick verlieren und ein Attachment aus Versehen öffnen.


Und hier die ausführliche Beschreibung aus dem Internet von den Seiten des Bundesamtes für Information (oder so ähnlich):

W32.Novarg.A@mm

[27.01.2004 10:45]

Name: W32.Novarg.A@mm
Alias: W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend]
Art: Wurm
Größe des Anhangs: 22.528 Bytes
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: hoch
Risiko: mittel-hoch
Schadensfunktion: Massenmailing,
Installation eines Backdoors,
DOS Angriff gegen www.sco.com
Spezielle Entfernung: -
bekannt seit: 26. Januar 2004

Beschreibung:

W32.Novarg.A@mm ist ein Internet-Wurm, der sich in Dateien mit den Endungen .bat, .cmd, .exe, pif, .scr und .zip versendet. Zusätzlich verbreitet er sich über KaZaA.

Bei der Infektion des Systems installiert der Wurm ein Backdoor-Programm, das die TCP-Ports 3127 bis 3198 öffnet. Damit hat ein Angreifer die Möglichkeit, den infizierten Rechner fernzusteueren. Außerdem kann dieses Backdoor weitere Dateien aus dem Internet laden.

Am 1. Februar startet der Wurm eine Denial of Sevice (DOS) Attacke gegen eine bestimmte Internetseite. Ab dem 12. Februar verbreitet er sich nicht weiter.

Der Wurm erzeugt die Datei shimgapi.dll im Systemverzeichnis von Windows.
Dieses Programm öffnet die TCP-Ports 3127 bis 3198 und arbeitet als Proxy-Server.

Durch den Registrierungs-Schlüssel
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 "(Default)" = %SysDir%shimgapi.dll

wird die Datei gestartet, wenn Explorer.exe geöffnet wird.

Die Datei taskmon.exe wird im Windows-Systemverzeichnis erzeugt. Existiert diese Datei schon, wird sie durch eine Kopie des Wurms ersetzt.

Diese startet automatisch durch den Registrierungs-Schlüssel
HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun
oder
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
mit dem Wert
TaskMon = %System% askmon.exe

Weiterhin wird die Datei message im Temp-Verzeichnis angelegt.

In Dateien mit den Endungen

.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt

werden E-Mail-Adressen zur weiteren Verbreitung gesucht. Dabei werden keine Adressen aus der Top-Level-Domain .edu verwendet. Novarg.A verwendet zur Verbreitung seine eigene SMTP-Maschine.

Die E-Mail hat folgende Charakteristik:

Von: <Adresse gefälscht>

Betreff: <eine der folgenden>

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Nachricht:

Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Name des Anhangs: <einer der folgenden>

document
readme
doc
text
file
data
test
message
body

Datei-Endung

pif
scr
exe
cmd
bat
zip

Größe des Anhangs: 22.528 Bytes

Novarg.A kopiert sich ausserdem in das Download-Verzeichnis von KaZaA, als Datei

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

mit der Dateiendung

pif
scr
bat
exe

Hinweise zur Entfernung des Wurms

Wenn Ihr Betriebssystem Windows ME oder XP ist, müssen Sie vor der Entfernung die Systemwiederherstellung[1] deaktivieren.

Den Wurm auf einem infizierten Rechner lokalisieren und entfernen können Sie über eines der kostenlosen Entfernungstools von

NAI (stinger.exe): Direkt-Download[2] oder Download mit Informationen[3]

Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

(Erstellt: 27.01.2004)

URL dieses Artikels:
http://www.heise.de/security/artikel/44038

Links in diesem Artikel:
[1] http://www.heise.de/security/artikel/39543
[2] http://download.nai.com/products/mcafee-avert/stinger.exe
[3] http://vil.nai.com/vil/stinger/

Copyright © 2004 Heise Zeitschriften Verlag
 
J

Juergen

Guest
#10
Hallo Roland und andere M$-Nutzer,
wie hoch ist eigendlich eure Leidensschwelle, bis Ihr endlich auf ein vernuenftiges Betriebssystem wechselt, und endlich den Mist aus Redmond in die Tonne kickt!
Ihr habt die Auswahl: Mac, Unix, FreeBSd, Linux
In der Zeit in der Ihr euch mit den Unzulaenglichkeiten von Windows und den Wuermern rumschlagt, haettet Ihr schon laengst ein anderes System installiert und euch eingearbeitet.

Gruss Juergen
(der nicht nur alternativ faehrt!!)
 
R

Roland Reichel

Guest
#11
Hallo Jürgen,
Dein Rat geht etwas an der Sache vorbei, denn wenn Du mit e-mails arbeitest, also eine mailbox hast, so wirst Du mails bekommen.

Es spielt gar keine Rolle, was Du für ein Betriebssystem hast. Wenn mails Mist sind oder gefälscht, so ist ein Hinweis auch für Dich nützlich. Ich wollte nur warnen davor, dass auch mails mit meinem gefälschtem Absender verschickt werden.

Sicher sind Windows Systeme von Haus aus unsicher. Man kann sich aber schützen. Linux mag zwar etwas sicherer sein, aber diese Sicherheit ist scheinbar. Gerade dadurch, dass Du Dich in Sicherheit wähnst, wirst Du bei einer wirklichen Attacke um so mehr getroffen werden. Und wie es aussieht, werden solche Attacken auch bald bei Linux geschehen.

Davon abgesehen: Die blöden Wurm-Mails werden sicher auch an Dich geschickt. Auch wenn sie kaum Schaden anrichten können, mußt Du doch irgendwas mit machen, z.B. Lesen und Löschen, oder wenigstens den Betreff lesen und dann löschen. Meine Hinweise sollten hilfreich dafür sein, gleich aus dem Betreff zu erkenen, dass es ein blödes mail ist und gelöscht werden soll. Ich hoffe jedenfalls, auch Dir mit diesen Hinweisen geholfen zu haben.

Gruss, Roland Reichel

P.S. Mein Vorschlag, im Solarmobil Verein beim gerade anstehenden neuen Rechner Linux statt Windows zu verwenden ist erstmal daran gescheitert, dass einige keine Experimente wollen, und dass auch niemand im Verein sich zutraut, damit umgehen zu können. Windows kennt jeder, der Datenaustausch untereinander scheint einfacher.
Schade, ich hatte für Linux und Open Office plädiert und sogar einen komplett eingerichteten Linux-Rechner zur Verfügung gestellt. Hat nix genutzt, bin überstimmt worden.
 
19.01.2004
179
9
Krefeld
#12
Nicht ärgern Roland, Du hast noch Chancen:
Knoppix oder ein anderes festplattenresidierendes Programm verwenden, wo Du völlig unbehelligt von Ameisen und Würmern Hackzxz und Warez- Seiten beliebig downloaden kannst. Die windows-Patitionen auf dem Rechner sind dann gesperrt. Natürlich, seit die neueren Versionen von windoofs auch auf unix aufgebaut sind, könnte auch diese Sperre durchtunnelt werden... aber dazu gehören erheblich mehr Aufwand und Motivation. Die mails werden, da man ja sonst nichts mehr permanent speichern kann, dann auf Diskette geschoben und dann erst, wenn es unbedingt sein muß, entseucht, auf windoofs transferiert. Knoppix enthält diese Möglichkeit. Auch Festplattenpartitionen unter Linux lassen sich zum Schreiben mounten, was zwar die Gefahr erhöht, aber doch meilenweit von der Gefahr, die von windoof ausgeht, entfernt ist.
Also. nicht ärgern. Lade Dir knoppix 3.3 herunter, bete, dass das ohne neues Compilieren auf dem Rechner läuft (Standardschnittstellen, nicht alte Rechner von Medion) , mache Dich mit mounten und evtl. Einbinden von Treibern vertraut, was übrigens alles über eine selbst anzulegende boot-Diskette geht und demonstriere den anderen, dass das eingebaute office, die Spiele, die Videosoftware, die Fotosoftware und sogar der windoof-Emulator allen anderen doofen Dingen dieser Welt überlegen ist. Aber es geht auch, im Gegensatz zu windoof, total ohne Vorwissen. CD rein, fertig, wenn der Rechner mitmacht. Die meisten heute tun es.
Minimum: Ich würde sagen 128 Mbyte Ram, denn das Ding arbeitet natürlich mit Ramdisk. Die ekligen Würmer werden beim Ausschalten restlos verspeist.

Falls Du dann noch Spaß hast, das debian-Entwicklungssystem ist auch noch auf der CD und die liebe Suse ist schließlich auch ein liebes Mädchen und auch die anderen Pinguinliebhaber lassen Dich nicht im Regen stehen. Sogar Nonnen sollen sich schon für die lieben Tiere erwärmt haben... Bernd
 
J

Juergen

Guest
#13
Hallo Roland,
das mit dem sich schuetzen (windows Rechner) kannst Du etwa so vergleichen: Verbrenner-Motor, dahinter nen Cat und weils immer noch stinkt noch ein Russfilter und wenn uns noch was einfaellt, haengen wir halt noch was hinten dran...
Vergleich dazu: Solarpanel aufs Dach und elektrisch fahren...
Ich denke der Vergleich passt recht gut ;-)

Juergen
(bleibt alternativ)
 

Anmelden

Neue Themen

Neueste Beiträge